邢慧芬，車 輝

(1.巢湖學(xué)院 信息工程學(xué)院，安徽 合肥 238024；2.湖州市織里鎮(zhèn)公共事業(yè)服務(wù)中心，浙江 湖州 313008)

0 引 言

隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)安全事件頻繁發(fā)生，網(wǎng)絡(luò)安全和服務(wù)質(zhì)量問題變得越來越突出，國家對網(wǎng)絡(luò)安全高度重視，于2017年6月國家網(wǎng)絡(luò)安全法實(shí)施頒布[1].由于企業(yè)員工網(wǎng)絡(luò)安全意識(shí)不高，在日常辦公時(shí)未對計(jì)算機(jī)進(jìn)行安全設(shè)置，導(dǎo)致安全風(fēng)險(xiǎn)急劇上升；同時(shí)外部網(wǎng)絡(luò)環(huán)境也存在巨大的風(fēng)險(xiǎn)，比如假裝冒用、網(wǎng)絡(luò)竊聽、通信干擾、病毒威脅以及一些其他攻擊手段，對企業(yè)安全造成了巨大的威脅[2].

近年來，國內(nèi)的網(wǎng)絡(luò)安全方面的專家對網(wǎng)絡(luò)安全的訪問和控制進(jìn)行了相關(guān)的研究[3]，結(jié)合不同的應(yīng)用場景，主要從防病毒入侵、防DOS攻擊、訪問權(quán)限控制以及流量控制等方面進(jìn)行研究，具體分類如圖1所示.其中文獻(xiàn)[4]針對校園網(wǎng)絡(luò)設(shè)備不斷增多、安全管理難度加大的現(xiàn)象，通過在幾種應(yīng)用場景下實(shí)施ACL(Access Control Lists,訪問控制列表)技術(shù)，有效地保障了校園網(wǎng)絡(luò)的安全.文獻(xiàn)[5]針對校園網(wǎng)面臨的諸如病毒入侵、DOS(Denial of Service，拒絕服務(wù))攻擊等網(wǎng)絡(luò)安全問題，對ACL在校園網(wǎng)安全建設(shè)中的實(shí)際應(yīng)用進(jìn)行了闡述，實(shí)現(xiàn)訪問控制列表ACL在校園網(wǎng)中的安全防護(hù)作用.文獻(xiàn)[6]針對小微企業(yè)對自身資料的機(jī)密性、可控性需求,從網(wǎng)絡(luò)架構(gòu)、VLAN(Virtual Local Area Network，虛擬局域網(wǎng))劃分、ACL配置、MAC(Media Access Control，物理地址)地址綁定等方面加以分析，通過對小微企業(yè)網(wǎng)絡(luò)安全架構(gòu)的構(gòu)建,提升企業(yè)的網(wǎng)絡(luò)安全.文獻(xiàn)[7]列舉了訪問控制列表在校園網(wǎng)中幾個(gè)具體應(yīng)用實(shí)例，通過設(shè)計(jì)的訪問控制列表達(dá)到了預(yù)期的流量控制要求,有效地提高了校園網(wǎng)的安全性.文獻(xiàn)[8]利用Packet Tracer和GNS3軟件設(shè)計(jì)兩種不同類型的網(wǎng)絡(luò)拓?fù)?，通過設(shè)備配置，以及進(jìn)一步應(yīng)用訪問控制列表,實(shí)現(xiàn)內(nèi)外網(wǎng)隔離的目的，對大中型結(jié)構(gòu)的園區(qū)網(wǎng)隔離具有一定的參考意義.文獻(xiàn)[9]詳細(xì)介紹了幾種訪問控制列表的過濾數(shù)據(jù)包規(guī)則及其配置命令，針對實(shí)驗(yàn)設(shè)備上進(jìn)行訪問控制列表研究與分析可操作性差問題，在Cisco Packet Tracer模擬器中設(shè)計(jì)實(shí)驗(yàn)案例進(jìn)行仿真,給出詳細(xì)的實(shí)驗(yàn)設(shè)計(jì)、實(shí)現(xiàn)過程和實(shí)驗(yàn)分析，有利于加深對訪問控制列表過濾規(guī)則的理解和配置實(shí)現(xiàn)命令的掌握.文獻(xiàn)[10]為了防止企業(yè)員工上班時(shí)間訪問休閑娛樂網(wǎng)站而影響工作效率，或者上班時(shí)間訪問不安全網(wǎng)站引起內(nèi)部網(wǎng)絡(luò)安全問題，利用ACL規(guī)則可以控制設(shè)備訪問、指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包，有效控制訪問者權(quán)限，保證網(wǎng)絡(luò)安全.文獻(xiàn)[11]針對DRDoS(Distributed Reflection Denial of Service，分布反射式拒絕服務(wù))攻擊，提出了一種基于URPF(Unicast Reverse Path Forwarding，單播反向路由查找技術(shù))和精確ACL的DRDoS協(xié)同處置方法，實(shí)現(xiàn)全流程精確處置DRDoS攻擊.在安徽聯(lián)通骨干網(wǎng)大規(guī)模應(yīng)用后，中心監(jiān)測數(shù)據(jù)證實(shí)骨干路由器已無反射攻擊流量出現(xiàn)，有效地阻止了DRDoS攻擊.文獻(xiàn)[12]針對浙江管理信息網(wǎng)雖然不接互聯(lián)網(wǎng),但有外聯(lián)單位，存在以外聯(lián)單位為跳板，利用系統(tǒng)內(nèi)部用戶之間的相互信任關(guān)系，攻入網(wǎng)絡(luò)內(nèi)部風(fēng)險(xiǎn)，借助于ACL技術(shù),有效地控制了特定用戶對網(wǎng)絡(luò)交換機(jī)的訪問以及對常見病毒端口的過濾，從而最大限度地保障了網(wǎng)絡(luò)安全.文獻(xiàn)[13]研究并設(shè)計(jì)了一種針對網(wǎng)絡(luò)用戶入侵行為的智能化檢測模塊，共分為檢測階段、管控階段和顯示階段3個(gè)階段.第一檢測階段，使用長短期記憶人工神經(jīng)網(wǎng)絡(luò)(Long Short-Term Memory，LSTM)的算法解決入侵?jǐn)?shù)據(jù)的檢測問題，相對于卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network，CNN)在ACC值和F1值上得到了明顯的提升；第二管控階段，若第一階段后產(chǎn)生檢測結(jié)果表明網(wǎng)絡(luò)連接攜帶了潛在的入侵行為，應(yīng)用華為訪問控制列表(ACL)技術(shù)，觸發(fā)Python腳本程序?qū)υO(shè)備下達(dá)最新配置命令進(jìn)行管控，同時(shí)向設(shè)備管理人員發(fā)送電子郵件報(bào)警；第三顯示階段，將已經(jīng)成功攔截的網(wǎng)絡(luò)連接信息以列表的形式顯示在平臺(tái)上.文獻(xiàn)[14] 應(yīng)用PBR(Policy Based Routing,策略路由)、ACL、浮動(dòng)路由等技術(shù)對京平、京秦高速公路省界收費(fèi)站網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行改造，使收費(fèi)系統(tǒng)數(shù)據(jù)、ETC(Electronic Toll Collection，電子不停車收費(fèi)系統(tǒng))門架系統(tǒng)數(shù)據(jù)按照指定路由在網(wǎng)絡(luò)中傳輸，在有限的資源下，實(shí)現(xiàn)了路段內(nèi)各個(gè)收費(fèi)站網(wǎng)絡(luò)安全接入的基本技術(shù)要求.文獻(xiàn)[15]虛擬了一個(gè)中型企業(yè)網(wǎng)絡(luò)的模型，根據(jù)搭建的網(wǎng)絡(luò)拓?fù)?，基于華為eNSP模擬器建立ACL相關(guān)規(guī)則過慮網(wǎng)絡(luò)流量，實(shí)現(xiàn)了該模型的網(wǎng)絡(luò)設(shè)計(jì)與安全服務(wù)，當(dāng)網(wǎng)絡(luò)中的設(shè)備進(jìn)行通信時(shí)，能使網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩玫娇煽勘Ｕ?

圖1 基于ACL的網(wǎng)絡(luò)安全訪問控制方法分類圖

從以上研究成果來看，眾多學(xué)者對基于ACL的網(wǎng)絡(luò)安全機(jī)制進(jìn)行了廣泛的研究，但沒有充分考慮企業(yè)網(wǎng)內(nèi)部訪問安全和區(qū)域劃分及設(shè)備遠(yuǎn)程控制，基于這些問題，本文在ACL的基礎(chǔ)上，基于Telnet協(xié)議、OSPF(Open Shortest Path First開放式最短路徑優(yōu)先)協(xié)議和MSTP(Multiple Spanning Tree Protocol，多生成樹協(xié)議)搭建網(wǎng)絡(luò)，并在華為eNSP模擬器進(jìn)行仿真實(shí)驗(yàn)，實(shí)現(xiàn)了中小企業(yè)的網(wǎng)絡(luò)安全訪問制.

1 相關(guān)技術(shù)

本文針對中小型企業(yè)面臨的網(wǎng)絡(luò)數(shù)據(jù)安全問題，利用OSPF協(xié)議進(jìn)行企業(yè)網(wǎng)內(nèi)部區(qū)域的劃分，將Telnet技術(shù)和ACL技術(shù)相結(jié)合，通過IP地址的判斷，進(jìn)行企業(yè)內(nèi)部路由器的權(quán)限的管理；利用MSTP和VRRP(Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議)技術(shù)增加冗余和帶寬，增強(qiáng)網(wǎng)絡(luò)的可靠性，從而實(shí)現(xiàn)對網(wǎng)絡(luò)交換機(jī)的訪問權(quán)限以及對常見病毒入侵和攻擊的過濾，保護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)安全.

1.1 ACL基本原理

1.1.1 ACL組成

ACL(Access Control Lists,訪問控制列表)由一組規(guī)則組成，通過將數(shù)據(jù)包與ACL規(guī)則匹配，設(shè)備可以排除某些數(shù)據(jù)包[4].一條ACL的結(jié)構(gòu)組成由圖1所示.

圖1 ACL的組成

1.1.2 ACL的匹配順序

ACL可以包含多個(gè)“deny | permit”語句.每個(gè)語句用來描述一個(gè)規(guī)則.這些規(guī)則可能重復(fù)或不一致.其中，允許和拒絕規(guī)則是不一致.如果規(guī)則之間存在重復(fù)或不一致，則報(bào)文匹配結(jié)果與ACL匹配順序密切相關(guān)[5].

設(shè)備支持兩種ACL匹配順序：config順序(配置模式)和auto順序(自動(dòng)模式)，默認(rèn)的ACL匹配順序?yàn)閏onfig模式[6].

(1)配置順序

配置順序，即系統(tǒng)根據(jù)ACL規(guī)則編號從小到大進(jìn)行匹配.規(guī)則編號越小，匹配越容易.

如果在配置規(guī)則時(shí)指定了規(guī)則編號，則規(guī)則編號越小，規(guī)則插入越早，匹配規(guī)則就越快.

如果在配置規(guī)則時(shí)未指定規(guī)則編號，則系統(tǒng)會(huì)自動(dòng)為該規(guī)則分配一個(gè)編號.該數(shù)字是大于當(dāng)前ACL最大規(guī)則編號的最小整數(shù)，并且是步長的整數(shù)倍，因此該規(guī)則最后匹配.

(2)自動(dòng)順序

自動(dòng)排序是指系統(tǒng)使用“深度優(yōu)先”的原則，對從高精度到低精度的規(guī)則進(jìn)行排序，并以高精度順序匹配數(shù)據(jù)包.規(guī)則中定義的匹配項(xiàng)越嚴(yán)格，則規(guī)則越準(zhǔn)確.換句話說，優(yōu)先級越高，系統(tǒng)將匹配得越快.

1.1.3 ACL的匹配機(jī)制

ACL的匹配機(jī)制具體如下[7]：

首先，系統(tǒng)檢查是否在設(shè)備上設(shè)置了ACL.

(1)當(dāng)ACL不存在，那么返回ACL匹配結(jié)果會(huì)顯示為：不匹配.

(2)如果存在ACL，請檢查設(shè)備是否配置了ACL規(guī)則.

①如果該規(guī)則不存在，則返回ACL匹配的結(jié)果，所示為：不匹配.

②如果該規(guī)則存在，系統(tǒng)將在ACL中搜索編號最小的規(guī)則.

③授權(quán)規(guī)則匹配，則搜索停止，返回ACL匹配結(jié)果，所示為：匹配(允許)；

④拒絕規(guī)則匹配，則搜索停止，返回ACL匹配結(jié)果，所示為：匹配(拒絕)；

⑤當(dāng)未匹配上規(guī)則，將會(huì)繼續(xù)向下查找規(guī)則，以此循環(huán).如果直到查到最后一條規(guī)則，報(bào)文仍未匹配上，將會(huì)返回ACL匹配結(jié)果顯示為：不匹配.

⑥從整個(gè)ACL匹配過程中，我們可以看到，數(shù)據(jù)包與ACL規(guī)則匹配后，會(huì)產(chǎn)生兩個(gè)匹配結(jié)果，即“匹配”和“不匹配”.

(3)匹配(命中規(guī)則)：該ACL存在，并且在ACL中找到滿足匹配條件的規(guī)則.不管匹配動(dòng)作是“允許”還是“拒絕”，它都被稱為“匹配”，并且匹配許可規(guī)則不被簡單地認(rèn)為是“匹配”.

(4)缺少規(guī)則(未命中)：表示沒有ACL，ACL中沒有規(guī)則，或者遍歷了ACL中的所有規(guī)則，沒有找到滿足匹配條件的規(guī)則，以上三種情況稱為“不匹配”.

1.2 多生成樹協(xié)議

MSTP(Multiple Spanning Tree Protocol，多生成樹協(xié)議)是一種將STP和VLAN相結(jié)合而使用的新的協(xié)議，它允許在一個(gè)環(huán)境中運(yùn)行多個(gè)生成樹的協(xié)議.MSTP協(xié)議區(qū)別與STP協(xié)議是可以將多個(gè)相同VLAN映射到同一實(shí)例.他解決了不同VLAN必須運(yùn)用在同一棵生成樹的問題，同時(shí)還具有端口遷移快的優(yōu)點(diǎn)[3].

在MSTP協(xié)議中，通常把二層網(wǎng)絡(luò)規(guī)劃成若干個(gè)域，而每個(gè)域中，又將其中的VLAN劃分成若干組，每組VLAN具有相同的任務(wù).MSTP技術(shù)可以增加冗余和帶寬，減少資源占有率，實(shí)現(xiàn)負(fù)載均衡.

1.3 Telnet技術(shù)

Telnet協(xié)議是TCP/IP協(xié)議中的應(yīng)用層協(xié)議[3].Telnet的操作模式如下：服務(wù)器/客戶端.提供從一個(gè)Telnet客戶端遠(yuǎn)程登錄到另一臺(tái)Telnet服務(wù)器的方法.需要在Telnet服務(wù)器和Telnet客戶端之間建立TCP連接到Telnet服務(wù)器的默認(rèn)端口號是23.

VRP(華為網(wǎng)絡(luò)操作系統(tǒng))同時(shí)支持Telnet服務(wù)器功能和Telnet客戶端功能.VRP系統(tǒng)允許用戶首先登錄到特定設(shè)備，然后將該設(shè)備用作Telnet客戶端，以通過Telnet遠(yuǎn)程登錄到網(wǎng)絡(luò)上的其他設(shè)備，從而進(jìn)行網(wǎng)絡(luò)維護(hù)，如圖2所示.

圖2 Telnet二級連接

2 網(wǎng)絡(luò)三層架構(gòu)

搭建企業(yè)網(wǎng)絡(luò)，保障網(wǎng)絡(luò)安全一般通過網(wǎng)絡(luò)三層架構(gòu)進(jìn)行配置.相對應(yīng)的三層架構(gòu)中所需的網(wǎng)絡(luò)設(shè)備配置是整個(gè)網(wǎng)絡(luò)中的核心.

2.1 網(wǎng)絡(luò)接入層設(shè)計(jì)

網(wǎng)絡(luò)中接入層一般是網(wǎng)絡(luò)中直接面向終端連接或者用戶訪問的部分.接入層實(shí)現(xiàn)了與終端連接，使其可以進(jìn)行帶寬分配和業(yè)務(wù)通訊.標(biāo)準(zhǔn)ACL一般部署在目的設(shè)備近的地方，放在接入層.

接入層交換機(jī)是接入層中最常見的設(shè)備.接入層交換機(jī)一般是最簡單的二層網(wǎng)絡(luò)結(jié)構(gòu).可以直接面向用戶，使用尤其廣泛.在企業(yè)中一般作為部門內(nèi)部通信連接為主，即插即用又十分易于使用和維護(hù).使用接入層交換機(jī)可以有效地處理內(nèi)部數(shù)據(jù)交換的需求.

2.2 網(wǎng)絡(luò)匯聚層設(shè)計(jì)

企業(yè)中匯聚層起到承上啟下的作用.可以為接入層的數(shù)據(jù)提供傳輸、分發(fā)、匯聚的作用.匯聚層通過劃分vlan來與網(wǎng)絡(luò)進(jìn)行隔離，起到保護(hù)核心層免受網(wǎng)段問題的蔓延和影響.擴(kuò)展ACL一般部署在源設(shè)備近的地方，放在匯聚層.

匯聚層交換機(jī)可以完成各種協(xié)議轉(zhuǎn)換，用來確保不同的協(xié)議區(qū)域在核心層運(yùn)行.一般匯聚層交換機(jī)屬于三層交換機(jī)作用，可以完成網(wǎng)關(guān)和三層路由器的轉(zhuǎn)發(fā)功能.相對于接入層交換機(jī)，匯聚層具有更高的性能.

2.3 網(wǎng)絡(luò)核心層設(shè)計(jì)

在網(wǎng)絡(luò)中，數(shù)據(jù)轉(zhuǎn)發(fā)和路由表維護(hù)都是在核心層上完成的.核心層屬于網(wǎng)絡(luò)主干部分，保障整個(gè)網(wǎng)絡(luò)的性能.可以實(shí)現(xiàn)骨干網(wǎng)絡(luò)間的數(shù)據(jù)傳輸.

與網(wǎng)絡(luò)接入層和匯聚層相比，它具有更強(qiáng)的性能，更高的吞吐量，更高的帶寬.核心層的部署也是網(wǎng)絡(luò)架構(gòu)的重點(diǎn)，著重考慮冗余性設(shè)計(jì).

3 網(wǎng)絡(luò)拓?fù)浯罱?/h2>

針對當(dāng)前企業(yè)面臨的安全問題，結(jié)合網(wǎng)絡(luò)三層架構(gòu)，將ACL規(guī)則、MSTP、Telnet協(xié)議和OSPF協(xié)議相結(jié)合，搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示，具體要求為：

圖3 企業(yè)中ACL功能的實(shí)現(xiàn)

研發(fā)部.與辦公室進(jìn)行對接.組網(wǎng)搭建時(shí)需要構(gòu)建與辦公室通信協(xié)議.研發(fā)部與辦公室搭建area2區(qū)域，完成數(shù)據(jù)通信，同時(shí)保護(hù)財(cái)務(wù)部與服務(wù)器信息安全，研發(fā)部無法與財(cái)務(wù)部通信并只能通過http服務(wù)器訪問內(nèi)部服務(wù)器.

財(cái)務(wù)部.與辦公室進(jìn)行對接，組網(wǎng)搭建需要保證與辦公室的互通，構(gòu)建area3保障數(shù)據(jù)的通信.為了保護(hù)內(nèi)部服務(wù)器信息安全，只能通過http服務(wù)器訪問，并不支持訪問外網(wǎng).

辦公室.作為企業(yè)核心部門，可以登錄管理企業(yè)路由器，保障內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)的流通，可以管理財(cái)務(wù)部和研發(fā)部.并可以訪問企業(yè)內(nèi)部服務(wù)器，保障數(shù)據(jù)安全.

企業(yè)內(nèi)部路由器搭建area區(qū)域，通過OSPF協(xié)議來劃分，有效地實(shí)現(xiàn)鏈路狀態(tài).

3.1 OSPF區(qū)域劃分設(shè)計(jì)

將企業(yè)網(wǎng)絡(luò)劃分成4塊區(qū)域，每個(gè)區(qū)域內(nèi)通過OSPF協(xié)議完成數(shù)據(jù)互通的工作.通過劃分區(qū)域很容易規(guī)劃內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和確定網(wǎng)絡(luò)架構(gòu)中的各個(gè)分層.

area0區(qū)域：將連接辦公室、研發(fā)部的路由器和連接財(cái)務(wù)部、內(nèi)部服務(wù)器的路由器建立area0區(qū)域.這是企業(yè)網(wǎng)絡(luò)組網(wǎng)中的核心部分.area0區(qū)域的路由器需要完成各項(xiàng)協(xié)議的轉(zhuǎn)換和數(shù)據(jù)傳輸?shù)墓ぷ?，?gòu)建基本ACL可以對源地址進(jìn)行包過濾.

area1區(qū)域：將連接外部網(wǎng)絡(luò)的路由器和外網(wǎng)建立為area1區(qū)域.這是企業(yè)內(nèi)部與外部通信需要經(jīng)過的路由器，在area1區(qū)域構(gòu)建高級ACL可以對源地址和目的地址進(jìn)行安全防護(hù).

area2和area3區(qū)域：是將企業(yè)內(nèi)部門間進(jìn)行區(qū)域劃分，有利于部門內(nèi)部和部門間的數(shù)據(jù)通信.不僅可以在區(qū)域內(nèi)部完成數(shù)據(jù)交互，也能跨區(qū)域完成數(shù)據(jù)交互.

3.2 Telnet遠(yuǎn)程登錄設(shè)計(jì)

辦公室作為企業(yè)內(nèi)部的核心部門，需要對企業(yè)網(wǎng)絡(luò)安全進(jìn)行日常維護(hù)工作和問題發(fā)生及時(shí)響應(yīng).在辦公室設(shè)置Telnent技術(shù)可以對企業(yè)內(nèi)路由器進(jìn)行管理和維護(hù).使整個(gè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)完整運(yùn)行.同時(shí)將Telnet技術(shù)和ACL技術(shù)相結(jié)合，有權(quán)限的IP地址可以通過Telnet遠(yuǎn)程登陸，保證企業(yè)內(nèi)網(wǎng)安全.

使用Telnet技術(shù)完成對企業(yè)內(nèi)部R1、R2、R3的遠(yuǎn)程登錄操作.從而完成日常維護(hù)的工作.通過設(shè)置密碼的方式，保障遠(yuǎn)程登錄的安全，防止權(quán)限不夠的部門惡意進(jìn)入路由器，破壞企業(yè)內(nèi)部數(shù)據(jù)傳輸安全.

3.3 二層交換機(jī)設(shè)計(jì)

研發(fā)部和財(cái)務(wù)部在企業(yè)中需要經(jīng)常進(jìn)行數(shù)據(jù)交換，必須保證區(qū)域線路通暢.為了保障數(shù)據(jù)傳輸?shù)姆€(wěn)定性和連續(xù)性，在研發(fā)部和財(cái)務(wù)部的area3區(qū)域添加二層交換機(jī).并且采用MSTP+VRRP架構(gòu)增加冗余和帶寬.從而減少資源占有率，實(shí)現(xiàn)負(fù)載均衡.多線路模式也解決了單線路模式下，一旦線路故障，數(shù)據(jù)無法傳輸?shù)膯栴}.

4 仿真實(shí)現(xiàn)過程

首先根據(jù)需求進(jìn)行設(shè)備類型選型，然后根據(jù)拓?fù)浣Y(jié)構(gòu)和要求利用華為eNSP模擬器模擬真實(shí)的實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境，最后對網(wǎng)絡(luò)通信權(quán)限和網(wǎng)絡(luò)攻擊進(jìn)行驗(yàn)證，看構(gòu)建的網(wǎng)絡(luò)能否防御攻擊，具體仿真實(shí)現(xiàn)步驟如下.

4.1 網(wǎng)絡(luò)設(shè)備的選型

在設(shè)備選型上需考慮到使用華為相關(guān)的網(wǎng)絡(luò)設(shè)備，通過對本次網(wǎng)絡(luò)設(shè)計(jì)的分析，構(gòu)建組網(wǎng)需要用到的設(shè)備需要滿足接入層、匯聚層、核心層的要求.

接入層：接入層作為直接連接終端，服務(wù)用戶的部分.使用接入層交換機(jī)可以有效地進(jìn)行工作.華為S3700系列企業(yè)交換機(jī)針對企業(yè)用戶可以接入多種應(yīng)用場景，支持靜態(tài)路由、vlan集中管理等優(yōu)點(diǎn)，配備下行24個(gè)(擴(kuò)容到48)個(gè)百兆端口，上行4個(gè)千兆端口.在接入層可以起到多主機(jī)設(shè)備接入的優(yōu)勢.

匯聚層：匯聚層需要實(shí)現(xiàn)多種協(xié)議，并在接入層和核心層之間做到承上啟下的工作.在匯聚層交換機(jī)的選取上采用華為S5700系列企業(yè)交換機(jī).相比于接入層交換機(jī)，匯聚層交換機(jī)應(yīng)該具有萬兆上行接口，高密度千兆端口滿足企業(yè)網(wǎng)絡(luò)匯聚層的工作.用來完成更多協(xié)議的轉(zhuǎn)換.并且在數(shù)據(jù)傳輸中具有處理帶寬更高的能力.

核心層.核心層作為整個(gè)網(wǎng)絡(luò)規(guī)劃的重點(diǎn)，在設(shè)備的選型上尤為重要.在核心層使用華為AR2200系列企業(yè)路由器.而路由器的性能更強(qiáng)、吞吐量更高、實(shí)現(xiàn)高可靠性，可以完成核心層的工作需求.

網(wǎng)絡(luò)設(shè)備選型及數(shù)量如表1所示.

表1 設(shè)備選型及數(shù)量

本節(jié)通過對企業(yè)內(nèi)部網(wǎng)絡(luò)安全進(jìn)行需求分析，完成企業(yè)內(nèi)部網(wǎng)絡(luò)拓?fù)淙龑蛹軜?gòu)的設(shè)計(jì)，之后對組網(wǎng)每一個(gè)環(huán)節(jié)進(jìn)行詳細(xì)的設(shè)計(jì)和說明，最終完成網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)和相關(guān)網(wǎng)絡(luò)設(shè)備的選型.

4.2 組網(wǎng)配置

結(jié)合網(wǎng)絡(luò)規(guī)劃的前期分析和網(wǎng)絡(luò)拓?fù)鋱D的搭建，相應(yīng)地將ACL規(guī)則和OSPF協(xié)議相結(jié)合，按照對應(yīng)要求完成網(wǎng)絡(luò)安全訪問控制策略的實(shí)現(xiàn).整體組網(wǎng)搭建要求和網(wǎng)絡(luò)配置構(gòu)建工作為：

(1)企業(yè)內(nèi)部網(wǎng)絡(luò)運(yùn)行內(nèi)部網(wǎng)關(guān)協(xié)議(OSPF)；

(2)R1、R2、R3只允許被辦公室訪問并管理；

(3)辦公室和研發(fā)部可以訪問外網(wǎng)，財(cái)務(wù)部不能訪問外網(wǎng)；

(4)財(cái)務(wù)部和研發(fā)部只能訪問服務(wù)器的http服務(wù)；

(5)area0 采用區(qū)域認(rèn)證；

(6)area3采用MSTP+VRRP架構(gòu)增加冗余和帶寬.

先對部門內(nèi)部的IP地址和網(wǎng)關(guān)配置，之后對企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備按照需求進(jìn)行配置，完成組網(wǎng)和功能實(shí)現(xiàn)工作.下面給出主要配置過程.

4.2.1 部門和內(nèi)部服務(wù)器的IP地址和網(wǎng)關(guān)的配置

先針對企業(yè)內(nèi)部各部門的IP地址，子網(wǎng)掩碼和網(wǎng)關(guān)進(jìn)行配置.保障部門內(nèi)部的IP地址劃分正確和內(nèi)部網(wǎng)絡(luò)連接正常.

辦公室配置IP地址分別為：192.168.10.0/24，網(wǎng)關(guān)為：192.168.10.1；

服務(wù)器配置IP地址分別為：192.168.20.0/24，網(wǎng)關(guān)為：192.168.20.254；

研發(fā)部配置IP地址分別為：192.168.30.0/24，網(wǎng)關(guān)為：192.168.30.254；

財(cái)務(wù)器配置IP地址分別為：192.168.40.0/24，網(wǎng)關(guān)為：192.168.40.254.

4.2.2 配置各區(qū)域OSPF協(xié)議

[R1]ospf 1\創(chuàng)建OSPF

[R1-ospf-1]area 0.0.0.0\創(chuàng)建area區(qū)域

[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher\配置OSPF區(qū)域認(rèn)證

[R1-ospf-1-area-0.0.0.0]area 0.0.0.1\創(chuàng)建另一個(gè)area區(qū)域

[R1-ospf-1-area-0.0.0.0]ospf enable 1 area 0.0.0.0 \配置OSPF協(xié)議

[R1-ospf-1-area-0.0.0.0]traffic-filter outbound acl 1000

……

4.2.3 配置ACL實(shí)現(xiàn)組網(wǎng)需求

[R2]ospf\創(chuàng)建OSPF

[R2-ospf-1]area 0.0.0.1\創(chuàng)建area區(qū)域

[R2-ospf-1-area-0.0.0.1]user-interface con 0\配置Console口登錄認(rèn)證功能

[R2-ui-console0] authentication-mode password\在vty下用passrod設(shè)置密碼

[R2-ui-console0]acl 2000 inbound\acl 2000 作用在接口進(jìn)入方向

[R2-ui-console0] authentication-modeaaa\創(chuàng)建本地用戶并啟用AAA驗(yàn)證

[R2-ui-console0]user-interfacevty 16 20\代表允許5個(gè)用戶登錄

[R2-ui-console0]acl 2001 inbound

……

4.2.4 配置多生成樹協(xié)議

[SW1]stp region-configuration\進(jìn)入MST域視圖

[SW1-mst-region] region-name chxy\名稱設(shè)置為chxy

[SW1-mst-region] revision-level 15\級別設(shè)置為15

[SW1-mst-region] instance 1 vlan 10\ instance1包括vlan10

[SW1-mst-region] instance 2 vlan 20\ instance2包括vlan20

[SW1-mst-region] active region-configuration\激活以上配置

[SW1-mst-region] local-user chxy privilege level 15

[SW1-mst-region] local-user chxy service-type telnet \配置Telnet協(xié)議

……

4.3 網(wǎng)絡(luò)通信驗(yàn)證

(1)配置完成后，財(cái)務(wù)部和研發(fā)部可以通過HttpClient訪問內(nèi)部服務(wù)器，通過訪問http://192.168.40.1的地址訪問服務(wù)器文件，驗(yàn)證結(jié)果如圖4所示.

圖4 財(cái)務(wù)部通過http訪問內(nèi)部服務(wù)器

(2)研發(fā)部，辦公室用于企業(yè)內(nèi)部與外部通訊正常，可以ping通外部網(wǎng)絡(luò)，正常訪問外網(wǎng).外網(wǎng)訪問財(cái)務(wù)部被ACL包過濾出去，保護(hù)數(shù)據(jù)安全.同時(shí)財(cái)務(wù)部防止網(wǎng)絡(luò)攻擊，數(shù)據(jù)傳輸做到只出不進(jìn).

(3)辦公室可以和研發(fā)部、財(cái)務(wù)部、內(nèi)部服務(wù)器通信，并且可以通過telnet協(xié)議遠(yuǎn)程直接登錄企業(yè)路由進(jìn)行管理控制，驗(yàn)證如圖5所示.

圖5 辦公室遠(yuǎn)程登錄R2路由器

(4)area3區(qū)域配置MSTP協(xié)議之后，可以保證研發(fā)部和財(cái)務(wù)部訪問外網(wǎng)時(shí)可以自動(dòng)切換線路，保證通訊正常.解決單線路冗余，堵塞，中斷等問題的發(fā)生.

4.4 ACL的配置問題及解決方案

4.4.1 查看ACL的生效順序

在任意視圖下執(zhí)行命令display acl …或者在ACL視圖下執(zhí)行命令display this，可以查看ACL規(guī)則的生效順序：

ACL在config模式下：編號越小規(guī)則越優(yōu)先；

ACL在auto模式下：編號越小規(guī)則越優(yōu)先；

ACL6在config模式下：編號越小規(guī)則越優(yōu)先；

ACL6在auto模式下：排名最高的規(guī)則先生效，規(guī)則以數(shù)字的升序排列.

4.4.2 流策略中應(yīng)用的ACL不支持哪些報(bào)文進(jìn)行過濾

流策略中應(yīng)用的ACL不支持過濾發(fā)送給CPU進(jìn)行處理的協(xié)議報(bào)文.

VRRP使用的協(xié)議數(shù)據(jù)包是目的IP地址為224.0.0.18的組播數(shù)據(jù)包.數(shù)據(jù)包到達(dá)設(shè)備后，將被發(fā)送到CPU進(jìn)行處理.因此，未啟用流策略ACL.對于此數(shù)據(jù)包，成員路由器仍可以協(xié)商主備關(guān)系；

DHCP客戶端與服務(wù)器交換DHCP消息以獲得有效的動(dòng)態(tài)IP地址.流策略ACL未被啟用，因?yàn)橄⒃诘竭_(dá)設(shè)備時(shí)即被發(fā)送到CPU進(jìn)行處理.消息和設(shè)備無法阻止一個(gè)接口下的用戶將通過DHCP自動(dòng)獲得IP地址；

用戶主機(jī)對設(shè)備執(zhí)行ping操作時(shí)，ICMP數(shù)據(jù)包到達(dá)設(shè)備后會(huì)被發(fā)送到CPU進(jìn)行處理，因此未為該數(shù)據(jù)包啟用流策略ACL，并且用戶主機(jī)將設(shè)備發(fā)送到設(shè)備且不能阻止執(zhí)行ping操作.

通過將ACL應(yīng)用于本地攻擊防護(hù)黑名單，可以過濾發(fā)送到CPU進(jìn)行處理的協(xié)議數(shù)據(jù)包.

(1)在系統(tǒng)視圖下，執(zhí)行命令，可以進(jìn)入攻擊防范策略視圖；

(2)執(zhí)行命令可以創(chuàng)建黑名單；

(3)執(zhí)行命令應(yīng)用防攻擊策略.

本節(jié)通過規(guī)劃網(wǎng)絡(luò)拓?fù)鋱D，在華為eNSP上進(jìn)行網(wǎng)絡(luò)實(shí)驗(yàn)，通過vlan間通訊、單臂路由、ACL策略配置，使R1路由器無法ftp遠(yuǎn)程服務(wù)器.ACL設(shè)計(jì)和實(shí)現(xiàn)順利進(jìn)行，為以后網(wǎng)絡(luò)的完善和規(guī)劃鞏固基礎(chǔ).

5 小 結(jié)

本文通過對中小型企業(yè)面臨的網(wǎng)絡(luò)數(shù)據(jù)安全問題，首先利用OSPF協(xié)議對企業(yè)園區(qū)進(jìn)行區(qū)域劃分，在網(wǎng)絡(luò)中心辦公室可以利用Telnet協(xié)議遠(yuǎn)程管理和控制路由器的配置工作，在其他辦公區(qū)域利用MSTP和VRRP技術(shù)增加冗余和帶寬，增強(qiáng)網(wǎng)絡(luò)的健壯性，最后在網(wǎng)絡(luò)的核心層配置ACL，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的安全訪問控制.在后期的設(shè)計(jì)上，可以結(jié)合機(jī)器學(xué)習(xí)和深度學(xué)習(xí)，設(shè)計(jì)針對網(wǎng)絡(luò)用戶入侵行為的智能化檢測方案，以支持企業(yè)數(shù)字化和智能化的發(fā)展.